Spamfilter i forkant av utgående e-postserver

[crazyleg]

Er det noen som har erfaring med å sette et spam-filter (eller lignende) i forkant av utgående smtp-server for å forhindre at kompromitterte kontoer blir benyttet til å sende ut spam - med påfølgende blacklisting av smpt-serverens ip?

Benytter i dag Mailcleaner i forkant av inngående.

For utgående smtp-trafikk trenger ikke godkjente IP-adresser å autentisere seg, mens klienter som kobler til fra ikke godkjente adresser må autentisere seg med brukernavn og passord for å sende mail via serveren.

[BlueEAGLE]

Personlig så ville jeg satt opp SMTP-autentisering for alle. Det å filtrere utgående post viser seg ofte å være et hull da den ofte sender mail tilbake til avsender (envelope from) med original mail vedlagt for å si at mailen har blitt blokkert. Hvis jeg da vil spamme [email protected] så koder jeg bare den mail-adressen inn i envelope-from og sender til din SMTP-server. Ferdig arbeid.

[xcomiii]

Det kommer litt an på budsjettet ditt. Du kan naturligvis klare deg med å fininstille din egen utgående mailserver, sette opp rate limiting, alerts osv.

 

Eller du kan bruke dedikerte appliances, som f.eks Barracuda sine bokser. Selv har jeg god erfaring med Barracuda bokser både til innkommende og utgående spamfiltrering. Men det koster jo litt.

 

Ellers er det en generell regel å ha sperret for ikke-autentisert SMTP trafikk i nettverket ditt, med mindre du har noen sære applikasjoner eller nettverksutstyr som ikke støtter SMTP AUTH (kan kun sende mail uten autentisering). Da får man heller åpne opp for en og en IP adresse.

[ignoreme]

Hvordan ser nettverket deres ut? Har dere flere lokasjoner som skal bruke en felles utgående MTA? Hvordan er det med brannmur og DMZ?

 

En løsning, som er relativt billig er å sette spamfilter-ut i DMZ og kun åpne port 25 ut mot verden for denne. All interntrafikk får dog lov til å bruke port 25 ut mot spamfilteret. spamfilteret for dog ikke lov å kommunisere inn. Da slipper du SMTP AUTH, som ikke alle printere (eldre) og en del crappy-tredjepartsløsninger ikke har støtte for.

[crazyleg]

Takk for flere gode svar.

Et alternativ som vil avhjelpe noe er å slå på autentisering, men vil da uansett ikke kunne sikre mot eventuelle kompromitterte brukernavn/passord samt infiserte maskiner med gyldig brukernavn/passord. Det dreier seg om flere offisielle IP-adresser, med flere klienter bak - så å løse dette ved hjelp av brannur på det enkelte nettverket er ikke noe god løsning. - Var derfor mest interessert i noe som kunne settes i forkant av MTA.

 

Mulig jeg kan justere litt på konfigen av SMTP-servere og sette begrensinger på antall utgående mail pr tidsenhet.